카스퍼스키 랩은 컴퓨터의 데이터를 손상시키는 신종 랜섬웨어(Ransomware) 바이러스 두 가지에 대한 긴급경보를 3일 발령했다.
랜섬웨어 바이러스란 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구하는 악성프로그램이다. 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 이 같은 이름이 붙었다.
카스퍼스키 랩에서 이번 주 초에 발견한 신종 랜덤웨어 바이러스는 컴퓨터의 MBR을 감염시키는 트로이목마다.
이 트로이목마에 일단 감염되면 컴퓨터의 부트 영역을 덮어쓰기 하며, 컴퓨터 사용자에게 MBR복구를 위한 암호를 얻기 위해 결제하도록 요구한다. 만일 사용자가 잘못된 암호를 세 번 입력되면 감염 컴퓨터를 강제로 재부팅하고 결제를 계속 요구한다.
이외에도 카스퍼스키 랩은 랜셈웨어로 악명 높았던 ‘GpCode’라는 트로이목마의 새로운 변종 ‘Trojan-Ransom.Win32.GpCode.ax’에도 주의하라고 밝혔다.
이 악성 프로그램은 어도비 리더, 자바, 퀵 타임 플레이어(Quicktime Player), 어도비 플래시(Adobe Flash)의 취약점을 이용해 감염된 웹사이트를 통해 확산되는 중이다. 일단 감염이 되면 doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd 등의 다양한 확장자를 가진 파일들을 사용자의 동의 없이 암호화(RSA-1024와 AES-256 알고리즘 사용)한 후 데이터 복구 소프트웨어로 복구하지 못하도록 원본 데이터를 덮어쓰기해 피해가 확산되고 있다.
현재 카스퍼스키 랩에서는 신종 Gpcode를 정밀 분석하고 있으며, 감염된 컴퓨터의 데이터를 복원할 수 있는 방법이 있는지 조사중이다.
카스퍼스키 랩은 이와같은 최신 랜섬웨어들을 막기 위해 안티바이러스 프로그램을 최신으로 업데이트하고 최신 안티바이러스 프로그램을 이용해 PC를 점검해볼 것을 권했다.
장윤정기자 linda@etnews.co.kr